Várias organizações que operam nos setores de transporte e logística global, mídia e entretenimento, tecnologia e automotivo na Itália, Espanha, Taiwan, Tailândia, Turquia e Reino Unido tornaram-se alvo de uma “campanha sustentada” do grupo de hackers APT41, com sede na China. “O APT41 conseguiu infiltrar e manter acesso prolongado e não autorizado às redes de inúmeras vítimas desde 2023, permitindo-lhes extrair dados sensíveis por um período prolongado”, disse a Mandiant, de propriedade do Google, em um novo relatório publicado na última quinta-feira.

A empresa de inteligência de ameaças descreveu o coletivo adversário como único entre os atores ligados à China devido ao uso de “malware não público tipicamente reservado para operações de espionagem em atividades que parecem estar fora do escopo das missões patrocinadas pelo estado.” A Google informou que as contas do Workspace identificadas foram remediadas para evitar acesso não autorizado. No entanto, não revelou quantas contas foram afetadas.

As intrusões também são caracterizadas pelo uso do SQLULDR2 para exportar dados de bancos de dados Oracle para um arquivo local baseado em texto e PINEGROVE para transmitir grandes volumes de dados sensíveis de redes comprometidas, abusando do Microsoft OneDrive como um vetor de exfiltração. Vale notar que as famílias de malware que a Mandiant rastreia como DUSTPAN e DUSTTRAP compartilham semelhanças com aquelas codificadas como DodgeBox e MoonWalk, respectivamente.